Page 1 of 2 12 LastLast
Results 1 to 15 of 22

Thread: Есть ли замена knock?

  1. 23-10-2007, 22:42 #1
    SergeyVl
    SergeyVl is offline Senior Member
    Join Date
    Jan 2006
    Location
    Moscow
    Posts
    85

    Question Есть ли замена knock?

    А я бы поставил knock (на форуме про него написано), прикрутил бы к нему скриптик для выдергивания (umount) флеша. Тыкнул ярлык, и через пару секунд можно дергать флешку. И ни в какие ssh-ы ходить не надо.
    Reply With Quote Reply With Quote
  2. 23-10-2007, 22:53 #2
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Угу, а еще сзади есть бесполезная кнопка ez-setup, на которую можно скрипт повесить в последней прошивке.
    Reply With Quote Reply With Quote
  3. 24-11-2007, 20:06 #3
    el-pashteto
    el-pashteto is offline Member
    Join Date
    Oct 2007
    Posts
    43

    Question Есть ли замена knock?

    Я не имею ввиду doorman. )
    В принципе, задачи те же, что и выполняет knockd. Волнует его ресурсоёмкость, он ведь слушает весь-весь траффик через интерфейс.
    Reply With Quote Reply With Quote
  4. 20-11-2009, 09:49 #4
    ZZToP
    ZZToP is offline Junior Member
    Join Date
    Oct 2009
    Posts
    9
    Есть относительно удобная и очень интересная в плане защиты всего, что угодно штучка - knock daemon.
    ipkg install knock

    Конфигурим /opt/etc/knockd.conf

    Закрываем доступ из WAN в post-firewall на все интересующие порты

    Теперь чтобы подключиться к нужному сервису (будь то шелл, фтп, самба, нфс, и т.д) снаружи, нам нужно пнуть несколько портов в определенной последовательности. Тогда демон добавляет в iptables разрешение на доступ к указанным портам только от ИП-шника, который только что стучал по портам.
    Далее вариантов 2: либо закрывает эти порты по таймауту, либо по второму стуку по портам в определенной последовательности.

    Единственное неудобство - на чужой машине приходится телнетом стучаться на каждый порт, а только затем лезть шеллом. На своей стоит knock-клиент, который простукивает по портам, а затем выполняет указанную команду, у меня это putty <ip_сервера>
    Reply With Quote Reply With Quote
  5. 20-11-2009, 10:00 #5
    joohny
    joohny is offline Senior Member
    Join Date
    Jan 2009
    Posts
    104
    Я подзаморочился и на своем хостинге написал php скрипт для простукивания... С той лишь особенностью что knockd открывает ssh для всех ip,
    ASUS wl-500gP with WL500gp-1.9.2.7-d-r473, asterisk, poptop, ether-wake, knockd.
    Reply With Quote Reply With Quote
  6. 12-11-2010, 06:28 #6
    Alexandre
    Alexandre is offline Junior Member
    Join Date
    Jan 2010
    Posts
    22
    я думаю, вторая проблема просто решается через ssh, без всяких доработок прошивок.
    :wq
    Reply With Quote Reply With Quote
  7. 12-11-2010, 10:00 #7
    kyarik
    kyarik is offline Junior Member
    Join Date
    Nov 2010
    Posts
    8
    Через SSH не устроит. Мне нужно, чтобы роутер открывал и закрывал порты анализируя ICMP пакеты.
    Reply With Quote Reply With Quote
  8. 12-11-2010, 21:21 #8
    Lupo_Alberto
    Lupo_Alberto is offline Senior Member
    Join Date
    Nov 2007
    Location
    Belarus, Gomel
    Posts
    168
    Quote Originally Posted by kyarik View Post
    Через SSH не устроит. Мне нужно, чтобы роутер открывал и закрывал порты анализируя ICMP пакеты.
    Не совсем icmp-пакеты, но...
    Code:
    %ipkg info knock
Package: knock
Version: 0.5-2
Status: unknown ok not-installed
Section: Security
Architecture: mipsel
maintainer: Don Lubinski <nlsu2@shine-hs.com>
MD5Sum: 9a2984159c341974035e4849fc8e8a26
Size: 87668
Filename: knock_0.5-2_mipsel.ipk
Source: http://www.zeroflux.org/knock/files/knock-0.5.tar.gz
Description: knockd is a port-knock server. 
It listens to all traffic on an ethernet (or PPP) interface, looking for special knock sequences of port-hits. 
A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. 
This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. 
When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. 
This can be used to open up holes in a firewall for quick access.
    Last edited by Lupo_Alberto; 12-11-2010 at 21:28.
    Reply With Quote Reply With Quote
  9. 13-11-2010, 17:09 #9
    kyarik
    kyarik is offline Junior Member
    Join Date
    Nov 2010
    Posts
    8
    Это очень похоже на то, что мне нужно... Спасибо большое.
    Но мне нужно обязательно через ICMP. В этом случае у клиента не нужно никого дополнительного программного обеспечения... Можно работать с любого компьютера, под любой операционкой.
    Есть ли кто-то кто может доработать эту программу под ICMP?
    С меня отплата деньгами или ответной услугой...
    Reply With Quote Reply With Quote
  10. 13-11-2010, 18:54 #10
    garlands
    garlands is offline Member
    Join Date
    Dec 2008
    Posts
    42
    Quote Originally Posted by kyarik View Post
    Это очень похоже на то, что мне нужно... Спасибо большое.
    Но мне нужно обязательно через ICMP. В этом случае у клиента не нужно никого дополнительного программного обеспечения... Можно работать с любого компьютера, под любой операционкой.
    Есть ли кто-то кто может доработать эту программу под ICMP?
    С меня отплата деньгами или ответной услугой...
    интересно, каким образом планируется "анализировать ICMP пакеты" и как это сочетать с "под любой операционкой", учитывая что конструировать ICMP под виндой нельзя?.. тогда уже проще носить с собой на флешке необходимую тулзу.

    PS: почитал ТЗ... н-да. и сразу возникли вопросы... 1) система хранения - это хост во внутренней сети, например, с syslog, или винт/флешка в 320? 2) есть сомнения, по поводу производительности проца для "путем анализа пакетов протокола". если "анализ все-таки не является крайне необходимым, то вполне можно выкрутиться на vnstat, наверное... и port knocking для предоставления доступа.
    Last edited by garlands; 13-11-2010 at 19:05.
    Reply With Quote Reply With Quote
  11. 14-11-2010, 06:55 #11
    kyarik
    kyarik is offline Junior Member
    Join Date
    Nov 2010
    Posts
    8
    Что касается ICMP под любой операционкой... Есть простая вещь PING. Работает из командной строки под любой операционкой. PING может быть разной длины. Скрипт для этого пишется или переделвается за 5 минут(это даже много). В windows это bat или cmd.

    Анализируем длины пакетов с помощью TCPDAMP. Производительности процессора хватит с большим запасом. Нам только длину посмотреть...

    Через TCP или UDP это неудобно еще и потому, что в некоторых местах закрыты порты на выход. И тогда постучатся не получится...

    В крайнем случае буду использовать эту программу.

    Но пока ищу человека, который может доработать.

    Что касается хранения логов для трафика, можно флешку припаять внутри корпуса...
    Reply With Quote Reply With Quote
  12. 14-11-2010, 07:12 #12
    Lupo_Alberto
    Lupo_Alberto is offline Senior Member
    Join Date
    Nov 2007
    Location
    Belarus, Gomel
    Posts
    168
    Судя по описанию на странице проекта существует клиент под Windows, а так же возможность управления посредством telnet и netcat, версии которых есть и под Windows.
    Reply With Quote Reply With Quote
  13. 14-11-2010, 11:16 #13
    garlands
    garlands is offline Member
    Join Date
    Dec 2008
    Posts
    42
    про пинг я в курсе не надо ёрничать. я про произвольное содержимое пакета, которым в винде рулить нельзя. а об анализе я говорил вот об этом пункте ТЗ: "- доменное имя (только для протоколов http и ftp – сколько c www.sbr.ru, и сколько с video.mail.ru. Доменное имя определяется НЕ путем обратного преобразования IP отправителя, а путем анализа пакетов протокола или путем чтения логов прозрачного некэширующего прокси). "

    telnet в семерке по дефолту не устанавливается...

    можно было-бы попрбовать, но 320-го нет для экспериментов...
    Reply With Quote Reply With Quote
  14. 14-11-2010, 17:04 #14
    kyarik
    kyarik is offline Junior Member
    Join Date
    Nov 2010
    Posts
    8
    Большое спасибо за ссылку.
    Это действительно больше половины решения. Это хорошо.
    И то что есть исходники. И то что есть клиент для Виндовс.
    Видимо будем считать так, что я хочу осуществить мечту... Или цель=)
    Так что буду пытаться дальше.
    Если кто может помочь, не стесняйтесь. Пишите, звоните.
    Reply With Quote Reply With Quote
  15. 14-11-2010, 17:10 #15
    kyarik
    kyarik is offline Junior Member
    Join Date
    Nov 2010
    Posts
    8
    Quote Originally Posted by garlands View Post
    про пинг я в курсе не надо ёрничать. я про произвольное содержимое пакета, которым в винде рулить нельзя. а об анализе я говорил вот об этом пункте ТЗ: "- доменное имя (только для протоколов http и ftp – сколько c www.sbr.ru, и сколько с video.mail.ru. Доменное имя определяется НЕ путем обратного преобразования IP отправителя, а путем анализа пакетов протокола или путем чтения логов прозрачного некэширующего прокси). "

    telnet в семерке по дефолту не устанавливается...

    можно было-бы попрбовать, но 320-го нет для экспериментов...
    Я это пишу не для того чтобы вас задеть. Уверен, что у вас знаний гораздо больше чем у меня. Я просто максимально подробно описываю чего хочу добиться, чтобы не было недопониманий.

    Анализ и подсчет трафика предлагаю пока отложить. Хотя тема очень интересная, нужная и востребованная. Но мне сейчас намного важнее Тук-тук.

    Что касается железки, если вы в Москве... Могу вам ее предоставить для экспериментов...

    У вас не заполнены никакие контакты. Напишите мне на почту kyarik на mail.ru чтобы можно было переписываться напрямую.
    Reply With Quote Reply With Quote
Page 1 of 2 12 LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. У кого есть русский полный мануал по Asus WL500gp?
    By Choosecool in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 75
    Last Post: 27-02-2010, 22:18

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules